Get started

인시던트 대응

1. 탐지 및 분류

보안 신호는 다음 경로에서 수집됩니다.

  • GitHub 보안 권고(GHSA) 및 비공개 취약점 보고.
  • 보고 내용이 민감하지 않은 경우 공개 GitHub 이슈/토론.
  • 자동화된 신호: Dependabot, CodeQL, npm 권고, 비밀 정보 검사.

초기 분류:

  1. 영향을 받는 구성 요소와 버전, 신뢰 경계에 미치는 영향을 확인합니다.
  2. SECURITY.md의 범위 및 범위 제외 규칙에 따라 보안 문제인지, 보안 강화 사항인지, 조치가 필요 없는 사항인지 분류합니다.
  3. 인시던트 담당자가 분류 결과에 따라 대응합니다.

2. 심각도

심각도 정의
치명적 패키지/릴리스/저장소 침해, 현재 진행 중인 악용, 또는 영향력이 큰 제어 권한이나 데이터 노출을 수반하는 인증되지 않은 신뢰 경계 우회.
높음 제한된 사전 조건이 필요한 것으로 확인된 신뢰 경계 우회(예: 인증되었지만 권한이 없는 상태에서 영향력이 큰 작업 수행) 또는 OpenClaw이 소유한 민감한 자격 증명의 노출.
중간 실질적인 영향이 있지만 악용 가능성이 제한되거나 상당한 사전 조건이 필요한 중대한 보안 취약점.
낮음 심층 방어 관련 발견 사항, 제한된 범위의 서비스 거부 또는 입증된 신뢰 경계 우회가 없는 보안 강화/동등성 격차.

3. 대응

  1. 보고자에게 접수 사실을 알립니다(민감한 경우 비공개로 전달).
  2. 지원되는 릴리스와 최신 main에서 문제를 재현한 후, 회귀 검사 범위를 포함한 패치를 구현하고 검증합니다.
  3. 치명적/높음: 실질적으로 가능한 한 빨리 패치된 릴리스를 준비합니다.
  4. 중간/낮음: 일반 릴리스 절차에서 패치하고 완화 지침을 문서화합니다.

4. 소통 및 공개

영향을 받는 저장소의 GitHub 보안 권고, 수정된 버전의 릴리스 노트/변경 로그 항목, 상태 및 해결 결과에 대한 보고자와의 직접적인 후속 연락을 통해 소통합니다.

치명적/높음 인시던트는 적절한 경우 CVE 발급과 함께 조율된 공개 절차를 거칩니다. 위험이 낮은 보안 강화 관련 발견 사항은 영향과 사용자 노출 정도에 따라 CVE 없이 릴리스 노트나 권고에 문서화할 수 있습니다.

5. 복구 및 후속 조치

수정 사항을 배포한 후:

  1. CI 및 릴리스 산출물에서 해결 조치가 적용되었는지 확인합니다.
  2. 타임라인, 근본 원인, 탐지 공백, 예방 계획을 다루는 간단한 인시던트 사후 검토를 수행합니다.
  3. 후속 보안 강화/테스트/문서 작업을 추가하고 완료될 때까지 추적합니다.

관련 문서

Was this useful?
On this page

On this page